您的位置: 首頁 >互聯(lián)網(wǎng) >

雙因素身份驗證黑客攻擊假電子郵件

2019-06-17 16:35:54 編輯: 來源:
導讀 正如黑客演示所示,可以擊敗雙因素身份驗證。人們關注的是一個視頻發(fā)布,其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。雙因素

正如黑客演示所示,可以擊敗雙因素身份驗證。人們關注的是一個視頻發(fā)布,其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。

雙因素身份驗證是“一個額外的安全層,需要員工HAS和他們所知道的東西。”

“這次攻擊的核心是一個網(wǎng)絡釣魚郵件,在這種情況下,一個據(jù)稱是由LinkedIn發(fā)送給一個成員,表示有人試圖在社交網(wǎng)絡上與他們聯(lián)系,” SC雜志的 Doug Olenick說。

用戶獲取虛假登錄頁面。這種攻擊方法在安全用語中被描述為憑證網(wǎng)絡釣魚技術,它需要使用拼寫錯誤的域名。這個想法是讓用戶放棄他/她的憑據(jù)。凱文的白帽黑客朋友開發(fā)了旨在繞過雙因素身份驗證的工具。

在這種攻擊中,拼寫錯誤的域名是什么意思?這是一個技巧,“蹲”反映了它如何在另一個實體上進行網(wǎng)絡搶斷。使用故意錯誤字母地址及其印刷錯誤工廠的互聯(lián)網(wǎng)用戶可能會被引導到黑客運行的替代網(wǎng)站。

通過虛假的Linked-In電子郵件,Mitnick在登錄他的Gmail帳戶時展示了這一切是如何運作的。

PCMag的英國編輯和新聞記者Matthew Humphries 在攻擊中說,有關該網(wǎng)站被定位的電子郵件似乎沒有,“所以收件人不會花時間檢查它發(fā)送的域名。”

在這種情況下,電子郵件來自llnked.com而不是linkedin .com- 如果你不在尋找虛假的游戲,很容易錯過。單擊電子郵件中的“感興趣”按鈕會將用戶帶到一個看起來就像LinkedIn登錄頁面的網(wǎng)站??偠灾?,米特尼克表示,僅僅通過將他們重定向到一個看起來像LinkedIn的網(wǎng)站并使用2FA對他們來竊取他們的登錄憑據(jù)和網(wǎng)站訪問,并不是那么難以繼續(xù)并獲得LinkedIn用戶的詳細信息。亨弗里斯。

該演示使用LinkedIn作為示例,但它可以在谷歌,F(xiàn)acebook和其他任何帶有雙因素登錄的東西上使用; 報道說這個工具可以為幾乎任何網(wǎng)站“武器化”。

有趣的是,去年Russell Brandom在The Verge中表示,在參考雙因素身份驗證時,“是時候對其限制進行誠實了” 。Brandom講述了雙因素的承諾如何在惡作劇制造者繞過它的時候開始解開。他說,“很明顯,大多數(shù)雙因素系統(tǒng)都不能與高級用戶對抗。”

盡管如此,他說,在大多數(shù)情況下,問題本身不是雙因素。這是“它周圍的一切。如果你可以突破那個雙因素登錄旁邊的任何東西 - 無論是帳戶恢復流程,可信設備還是底層運營商帳戶 - 那么你就可以免費回家了。”

然而,提出了一條明顯的建議,即對鏈接保持警惕。此外,關于什么是雙因素身份驗證的觀點是有用的。它比基本密碼機制更緊湊。這是一個額外的安全層。但正如KnowBe4首席執(zhí)行官Stu Sjouwerman所說:“雙因素身份驗證旨在成為額外的安全層,但在這種情況下,我們清楚地看到您不能單獨依賴它來保護您的組織。”


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。